Comment Google détecte les applications Android contenant des logiciels malveillants
Google a expliqué dans son blog pour les développeurs le processus qu’il suit pour localiser les logiciels malveillants dans les applications Android.
A découvrir également : Huawei offre plus de 120.000€ aux chercheurs qui découvrent de sérieuses failles de sécurité dans leur appareil.
Dans cette publication, Megan Ruthven, experte en logiciels, parle du protocole Android Verify Apps, qui est utilisé pour déterminer quelles applications potentiellement nuisibles sont installées sur un appareil, et ce qui se passe quand un appareil cesse de communiquer avec lui.
Vérifier les applications est une fonction de sécurité qui analyse périodiquement les applications téléchargées à partir du Play Store pour s’assurer qu’elles ne sont pas dangereuses, mais Ruthven précise que parfois les téléphones ou tablettes cessent d’interagir avec elle. Parfois, cela se produit parce que l’appareil est passé à une vie meilleure, par exemple parce que l’utilisateur a cessé de l’utiliser, mais d’autres fois, c’est parce que des logiciels malveillants ont été installés.
Lire également : Une nouvelle vulnérabilité appelée RAMpage menace n'importe quel smartphone au cours des six dernières années
Lorsqu’un appareil cesse de communiquer avec Verify Apps, l’appareil est considéré comme mort ou non sécurisé (DOI). Une application qui a été téléchargée par un pourcentage élevé de périphériques DOI est une application de type DOI. L’inverse est également vrai, si un appareil continue à communiquer avec Verify App après avoir téléchargé une application, cette application est considérée comme un type “hold”.
Android attribue un score DOI aux applications en fonction du nombre total de périphériques qui ont téléchargé l’application, du nombre de périphériques conservés qui ont téléchargé l’application et de la probabilité qu’un périphérique télécharge une application qui sera conservée. Sur la base de ce score, Google détermine si une application est ou non une menace.
C’est la formule mathématique utilisée par l’équipe de sécurité Android :
N = Nombre de périphériques ayant téléchargé l’application
x = Nombre de périphériques conservés ayant téléchargé l’application
p = Probabilité qu’un périphérique télécharge une application qui sera conservée.
Z = score DOI
Si le score DOI est inférieur à “-3,7”, cela signifie qu’un grand nombre de périphériques ont cessé de communiquer avec Verify Apps après avoir installé l’application en question. Google combine ce score avec “d’autres informations” pour déterminer s’il est réellement nocif, avant d’entreprendre toute action telle que la suppression des installations actuelles ou futures.
Ruthven explique que la mise en œuvre de ce processus de sécurité a contribué à la découverte d’applications contenant des logiciels malveillants tels que Hummingbad, Ghost Push et Gooligan.